Chiến dịch tấn công đánh cắp thông tin web

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch đánh cắp thông tin trực tuyến quy mô lớn, hoạt động liên tục từ tháng 1 năm 2022. Chiến dịch này nhắm mục tiêu vào các tổ chức doanh nghiệp sử dụng các mạng thanh toán lớn, bao gồm American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard và UnionPay. Các công ty tích hợp các dịch vụ thanh toán này vào hệ thống thanh toán trực tuyến của họ được đánh giá là có nguy cơ cao nhất.

Đọc lướt kỹ thuật số và sự tiến hóa của Magecart

Tấn công đánh cắp thông tin thẻ tín dụng là một hình thức xâm phạm phía máy khách, trong đó kẻ tấn công chèn mã JavaScript độc hại vào các trang thương mại điện tử và cổng thanh toán hợp pháp. Mã được chèn vào sẽ âm thầm thu thập dữ liệu thẻ tín dụng và thông tin cá nhân khi khách hàng nhập thông tin thanh toán của họ.

Hoạt động này thuộc phạm trù rộng hơn thường được gọi là Magecart. Thuật ngữ này ban đầu mô tả một nhóm tội phạm mạng tập trung vào các trang thương mại điện tử dựa trên Magento, nhưng kể từ đó đã mở rộng để bao gồm các hoạt động đánh cắp dữ liệu trên nhiều nền tảng và công nghệ khác nhau.

Cơ sở hạ tầng liên quan đến việc né tránh lệnh trừng phạt

Chiến dịch này được phát hiện trong quá trình điều tra một tên miền đáng ngờ liên quan đến Stark Industries, một nhà cung cấp dịch vụ lưu trữ chống đạn đã bị trừng phạt. Công ty mẹ của nó, PQ.Hosting, sau đó đã đổi tên dịch vụ thành THE.Hosting, hiện do công ty WorkTitans BV của Hà Lan điều hành, được cho là để né tránh các lệnh trừng phạt.

Tên miền cdn-cookie(dot)com được phát hiện chứa các tệp JavaScript được mã hóa rất phức tạp, chẳng hạn như 'recorder.js' và 'tab-gtm.js'. Các tập lệnh này được nhúng vào các cửa hàng trực tuyến bị xâm nhập, nơi chúng cho phép đánh cắp thông tin thẻ tín dụng một cách bí mật.

Lén lút thông qua sự tự hủy diệt và nhận thức về môi trường

Phần mềm đánh cắp thông tin này được thiết kế để chủ động né tránh sự phát hiện của quản trị viên trang web. Nó kiểm tra Mô hình Đối tượng Tài liệu (DOM) để tìm sự hiện diện của 'wpadminbar', một thành phần thanh công cụ hiển thị khi quản trị viên WordPress hoặc người dùng có quyền đăng nhập. Nếu phát hiện thành phần này, phần mềm độc hại sẽ ngay lập tức kích hoạt quy trình tự xóa, tự gỡ bỏ khỏi trang.

Để duy trì sự hiện diện trong quá trình duyệt web thông thường, trình quét sẽ cố gắng thực thi mỗi khi DOM của trang thay đổi, một hiện tượng phổ biến trong quá trình tương tác của người dùng trên các trang web hiện đại.

Sử dụng Stripe như một vũ khí thông qua thao tác giao diện

Mã độc chứa logic cụ thể được thiết kế để khai thác quy trình thanh toán dựa trên Stripe. Khi Stripe được chọn, phần mềm đánh cắp thông tin sẽ kiểm tra mục nhập localStorage có tên 'wc_cart_hash'. Nếu giá trị không tồn tại, nó sẽ tạo khóa và chuẩn bị thu thập dữ liệu.

Tại thời điểm đó, phần mềm độc hại sẽ tự động thay thế biểu mẫu thanh toán Stripe hợp lệ bằng một biểu mẫu giả mạo. Thông qua việc thao túng giao diện một cách tinh vi, nạn nhân bị lừa nhập số thẻ, ngày hết hạn và mã CVC vào biểu mẫu giả mạo.

Sau khi gửi biểu mẫu, trang web hiển thị thông báo lỗi, khiến người dùng tưởng rằng việc thanh toán thất bại là do thông tin không chính xác chứ không phải do can thiệp độc hại.

Trộm cắp dữ liệu, rò rỉ và dọn dẹp dữ liệu

Thông tin bị đánh cắp không chỉ bao gồm chi tiết thẻ thanh toán mà còn cả tên đầy đủ, số điện thoại, địa chỉ email và địa chỉ giao hàng. Thiết bị đọc trộm dữ liệu truyền tải dữ liệu này thông qua yêu cầu HTTP POST đến lasorie(dot)com.

Sau khi quá trình đánh cắp dữ liệu hoàn tất, phần mềm độc hại sẽ xóa biểu mẫu giả mạo, khôi phục giao diện Stripe hợp pháp và xóa dấu vết hoạt động của nó khỏi trang thanh toán. Sau đó, nó đặt 'wc_cart_hash' thành 'true', đảm bảo rằng phần mềm đánh cắp thông tin sẽ không chạy lại đối với cùng một nạn nhân.

Chuỗi tấn công được xây dựng dựa trên kiến thức chuyên sâu về nền tảng.

Các nhà nghiên cứu lưu ý rằng kẻ tấn công thể hiện sự hiểu biết sâu sắc về cấu trúc bên trong của WordPress và tận dụng cả những tính năng ít được biết đến của nền tảng như một phần của quá trình tấn công. Kiến thức chuyên sâu này, kết hợp với các kỹ thuật né tránh và thao túng giao diện tinh vi, cho thấy sự trưởng thành và tính bền bỉ của hoạt động này.